Récemment, le Commissariat à la protection de la vie privée du Canada (le « Commissariat ») a publié ses conclusions d’enquête concernant la cyber-attaque subie par le manufacturier de jeux vidéo Vtech. Les conclusions d’enquête du Commissariat constituent un guide utile pour les entreprises canadiennes quant aux règles entourant la protection des renseignements personnels et la sécurité des données, au regard notamment de la Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi »).

Contexte

Vtech est un fabricant et fournisseur mondial de produits électroniques d’apprentissage destinés aux enfants, dont le siège social se situe à Hong-Kong. Vtech possède notamment une filiale canadienne pour ses activités au Canada.

En novembre 2015, Vtech a subi le piratage de ses environnements informatiques par un utilisateur non autorisé. Profitant d’une faille connue sous le nom d’ « injonction SQL », l’utilisateur a réussi à accéder, copier et extraire une partie des données du réseau Vtech aux fins d’une utilisation potentielle.

Mise au courant de ce piratage par l’intermédiaire des médias, Vtech ouvre immédiatement une enquête interne. Quelques jours plus tard, Vtech confirme que certaines données ont été compromises en raison de la cyber-attaque et publie un communiqué de presse à ce sujet. Vtech précise que les données compromises comprennent les renseignements personnels suivants :

  • Les renseignements relatifs aux comptes des parents et incluant, entre autres, le nom, l’adresse électronique, l’adresse postale, l’adresse IP, le mot de passe utilisé par la personne et les quatre derniers chiffres et la date d’expiration de la carte de crédit; et
  • Les renseignements concernant les enfants, incluant le nom, le sexe et la date de naissance, des photos et des enregistrements vocaux.

Le pirate est arrêté et les renseignements sont rapidement récupérés par Vtech. Le Commissariat est cependant saisi suite à une plainte d’un citoyen canadien contre Vtech à l’effet que l’entreprise n’aurait pas protégé ses renseignements personnels et ceux de son enfant adéquatement. C’est dans le cadre de cette plainte que le Commissariat se prononce quant au caractère adéquat du système de sécurité de Vtech au regard de la Loi.

Conclusions d’enquête quant à la sécurité des données

La Loi exige des entreprises, détentrices de renseignements personnels, le respect des principes suivants : (i) la mise en place des mesures de sécurité, de confidentialité et d’intégrité des renseignements personnels qu’elles collectent et détiennent; et (ii) le maintien de mesures de sécurité proportionnelles au degré de sensibilité des renseignements personnels détenus et comprenant des moyens tant matériels qu’administratifs et techniques.

À cet égard, le Commissariat considère que les mesures de sécurité de Vtech étaient inadéquates au moment de l’attaque, particulièrement en ce qui a trait à la sensibilité des renseignements détenus. Le Commissariat rappelle que les renseignements compromis auraient pu être utilisés à des fins d’hameçonnage et de vols d’identité. Or, Vtech a démontré les déficiences suivantes dans ses mesures de protection et de sécurité des données :

  1. Sur le plan administratif : Vtech n’avait pas mis en place de contrôle d’accès réseau, permettant notamment de limiter l’accès aux comptes d’administrations aux seuls employés en ayant besoin dans le cadre de leur travail. De plus, Vtech n’avait aucune politique globale sur la sécurité des données ni de formation connexe.
  2. Sur le plan technique : Vtech gardait et transférait les renseignements personnels sans aucune protection cryptographique. De plus, Vtech ne s’était pas doté d’un programme d’essais réguliers visant à repérer les vulnérabilités de son réseau ni d’aucun programme relatif à la maintenance des logiciels. Vtech n’avait donc aucune stratégie d’atténuation des risques en cas de faille de sécurité. Enfin, Vtech ne possédait aucun mécanisme de journalisation et de surveillance de la sécurité des réseaux permettant de détecter les activités inhabituelles.

Conclusions d’enquête quant à la réaction à la cyberattaque

La Loi a fait l’objet de modifications relatives à la cyber-sécurité en juin 2015. Parmi elles, notons le Règlement concernant les atteintes aux mesures de sécurité, non entré en vigueur à la date de cet article, qui oblige les entreprises faisant face à une cyber-attaque à :

  • Déclarer au Commissariat cette atteinte dans le cas où celle-ci présente un risque de préjudice grave pour les individus concernés;
  • Aviser les individus dès que possible. Cet avis devra contenir des détails précis permettant aux individus concernés de prendre les mesures nécessaires pour réduire les risques liés à l’atteinte;
  • Tenir à jour un registre de toutes les atteintes à la sécurité des données.

À la lumière de ces principes, le Commissariat a jugé que la réaction de Vtech à l’incident a été opportune et ne peut donc faire l’objet de reproches. En effet, Vtech a agi promptement une fois la faille connue et a pris les mesures adéquates pour limiter l’impact découlant de ampleur de la faille, notamment en mettant hors ligne les bases de données touchées. L’entreprise a aussi avisé les utilisateurs de l’incident très tôt dans le processus et en a fait de même auprès du Commissariat. De plus, Vtech a retenu les services d’un avocat spécialiste en cybersécurité pour analyser l’ampleur et la cause de la faille; et pour prendre les mesures correctives appropriées pour éviter qu’une attaque similaire se reproduise.

Conclusion

Le rapport des conclusions d’enquête du Commissariat sur Vtech reste très instructif quant aux bonnes et mauvaises pratiques en matière de sécurité des données et de cyber-attaque. Le rapport, lu en conjonction avec la Loi, peut servir de référence aux entreprises qui veulent s’assurer que leurs procédés en la matière sont conformes et ce notamment avant l’entrée en vigueur du Règlement concernant les atteintes aux mesures de sécurité.